В ядре FreeBSD-CURRENT в течение 4 месяцев был поломан генератор случайных чисел

зато там нет всяких ваших dbus, udev и kms. нас не заманишь s****d мясистым

Привет панамским ботам

#решето

РЕЕЕЕЕШЕЕЕЕЕЕТООООООО!!!

Скро доберётся и до вас

а есть случаи проникновения грязных и потных хакеров именно благодаря этой уязвимости ?

Хакеры и FreeBSD в одном предложении? Не, не слышал.

Нет, конечно. В мире BSD бета-версии никто в продакшане не использует. Здесь нет линух-школоло и дырявого Debian Stable.

В CURRENT? Да это даже на мининовость не тянет. Это примерно как «ядро вообще не собиралось с ревизии n до n+123 ололо!!!»

был поломан генератор случайных чисел

поломан
поломан
поломан

А вроде не шаман подтверждал.

Ты нерусский, что ли?

В мире BSD бета-версии

так, я что-то путаю.
current - это тестовая ?

текущая, написано же

Следует отметить, что это ветка, в которой ведётся текущая разработка ядра FreeBSD, стабильные релизные версии FreeBSD данной уязвимости не подвержены

Зато там драйверы нужные днем с огнем не сыщешь.

Драйверы - один из источников уязвимостей.

4 месяца всем было всё равно.

В мире BSD бета-версии никто в продакшане не использует.

Только окаменевший 4.4, только Лиссяра, только штабильношть.

в названии темы слово CURRENT лишнее

Здесь нет линух-школоло и дырявого Debian Stable.

вут? секьюрити-апдейтс своевременно надо ставить, горе-админ.

Ох и новость... Полтора пользователя CURRENT негодуют. :D

А где рассказ о том как сломали?

Давно уже отказался, только лишь от одного(двух) источника seed.

current - это тестовая ?

current - это находящаяся в разработке.

Желтизна, фу.

Всем, кто генерировал какие-либо ключи (SSH, GnuPG, openssl, ...) c ядром ревизии от r273872 до r278907 рекомендуется срочно обновить ядро и пересоздать ключи заново.

рекомендуется срочно обновить ядро

Ибо исправлять баги в поломанных ядрах никто не будет, можно лишь скачать новые ядра с неизвестными критическими уязвимостями.

Решето, хотя тянет только на мини-новость.

Насколько он был поломан - отдавал нули или энтропия была недостаточной?

что за паника ? 17 - хорошее случайное число

Поэтому-то FreeBSD и умирает?

[sarcasm]Зато arc4random не надо инициализировать.[/sarcasm]

зато там нет всяких ваших dbus и kms

Есть. И то, и другое.

поломан

полностью? зря

Новость ни о чем, это даже не -STABLE.

Никогда даже на домашнюю машинку не ставил current фряхи.

можно лишь скачать новые ядра с неизвестными критическими уязвимостями.

ну это скорее в линуксе, а в freebsd обновил через svn исходнык ОС и перебрал ядро и профит, делов то

Для не читателей: https://www.freebsd.org/doc/en/books/handbook/current-stable.html

FreeBSD has two development branches: FreeBSD-CURRENT and FreeBSD-STABLE.

FreeBSD-CURRENT is the very latest source code for FreeBSD and includes works in progress, experimental changes, and transitional mechanisms that might or might not be present in the next official release.

Все равно что требовать патчей для такой-то версии linux-next бранча, не?

Вообще, в оригинале было так:

I discovered an issue where the new framework code was not calling
randomdev_init_reader, which means that read_random(9) was not returning
good random data.  read_random(9) is used by arc4random(9) which is
the primary method that arc4random(3) is seeded from.

О как фряху отрешетили.

Сколько можно насиловать труп.

мда «А новостей на сегодня больше нет» (С)

Радует что лишь в current

был поломан

Хард-инглиш-стайл, уважуха!

Нет, конечно. В мире BSD бета-версии никто в продакшане не использует.

Враньё. Тео де Раадт у себя на ноуте использует openbsd current.

c ядром ревизии от r273872 до r278907

как узнать ревизию ядра?

можно лишь скачать новые ядра с неизвестными критическими уязвимостями.

ну это скорее в линуксе, а в freebsd обновил через svn исходнык ОС и перебрал ядро и профит, делов то

От того что сам лично отдаёшь команду на компиляцию, ненамного легче - всё равно проверять все изменения за год-два не будешь. В итоге имеем коллективную ответственность/безответственность как стаде антилоп или косяке рыб: авось пока с того края начнут харчить, тут сообразим и примем меры:)

как узнать ревизию ядра?

svn info или svn update ваш КО

стабильные релизные версии FreeBSD данной уязвимости не подвержены

а форумные тролли пишут «решето»
тролли такие тролли

спасибо, уже перечитал новость. У меня НЕ current

Все равно что требовать патчей для такой-то версии linux-next бранча, не?

Если ставишь поддерживаемую версию, то значит у неё поддержка вот-вот кончится и там начнётся всё тоже самое. Хотя у фряхи сроки поддержки и больше, но установить версию с окончанием пятилетнего цикла можно и там. Да и в поддерживаемых, обычно критические баги чинятся с следующих версиях. Года два назад на лоре была новость в которой обещали что третья версия ведра линукса станет модульной: дрова станут отдельно, ведро отдельно. И где все эти ништяки? Как было всё в куче и обновление сразу всего, так и осталось - корпорации нужны тестеры.

Объясните мне, зачем вам генерировать случайные числа? Что вы с ними делаете?

всё равно проверять все изменения за год-два не будешь.

это не моя работа, для этого в FreeBSD есть група по «секурити» и rss канал, предупредили, обновляй если надо. Обновлять надо если уязвимость слишком критична, а не на каждый баг обновляять систему, тем более сервер.